Underc0de

Actualmente, la mayoría de las empresas relacionadas con la venta al consumidor han tenido que transformarse completamente pata adaptar su modelo de negocio a internet, que también ha ofrecido la posibilidad de crear una tienda sin apenas recursos. Esto ha dado lugar a una gran competencia y a numerosas técnicas de captación de clientes, desde promociones hasta nuestras protagonistas las tarjetas regalo o "gift cards".

La intención del post es meramente educativa y no me hago responsable del uso que haga la gente de esta información.


Generalmente, las Gift Cards suelen estar asociadas a una cuenta de usuario, sobre todo las grandes marcas cómo Nike, Apple, Amazon, etc... tienen buenas medidas de protección.
Las páginas web que utilizan este tipo de tarjetas online, permiten comprobar el crédito del que disponen las mismas, y aquí es donde viene el problema. Si la validación de la tarjeta no se hace de forma segura, es posible hacer scraping y comprobar las tarjetas con crédito para su posterior uso.

Las tarjetas regalo se protegen con los siguientes medios en la mayoría de los casos:

• Cuenta de usuario
• Pin secundario
• Captcha
• Verificación vía e-mail

Como he mencionado antes, Internet ha abierto las puertas a cualquier persona que quiera abrir un negocio, lo que supone miles y miles de tiendas online. Alguien que usa un sistema de Gift Cards debe saber los riesgos que supone, pero gracias a los buscadores cómo google podemos hacer una pequeña búsqueda para conseguir lo que queremos:

Una tienda con Gift Cards, que no use cuentas, ni pin secundario, ni captcha, ni verificación mail para comprobar el saldo de la tarjeta, lo que en google se traduce como inurl:giftcardbalance OR inurl:giftcard + "check" -pin -captcha

Es solo un ejemplo, con un poco de imaginación se pueden obtener mejores resultados. Una vez llegados a este paso, podemos comprar un par de tarjetas para ver si siguen algún patron o podemos mejorar nuestro dork para obtener algo más de información:
inurl:giftcard + "check" +  "balance"  -pin -captcha + "digits"



También podemos obtener información de las respuestas:



Cuando tengamos una web que cumpla los requisitos y sepamos el patron de las tarjetas, debemos crear un diccionario para usarlo en Burpsuite. Podemos hacerlo con el comando seq (https://www.lifewire.com/uses-of-linux-seq-command-4011324), crunch (https://sourceforge.net/projects/crunch-wordlist/)o cualquier otro generador de wordlists.

Configuramos el navegador y obtenemos la petición que comprueba el crédito:


Y observando la rspuesta, se comprueba que la petición es correcta.



Tras esto lo mandaremos al intruder y configuramos el ataque con el diccionario que hemos creado anteriormente. Unicamente necesitamos introducir un payload, que será el número de tarjeta a comprobar para cada petición, y configurar la captura de datos:




Como podeis ver, solo ha hecho falta realizar 9 peticiones para obtener una tarjeta de 50$. Sería posible realizar el ataque para comprobar todas las tarjetas con saldo existentes en la web, y en este caso serían muchas, ya que es un sistema intermediario que se dedica a los pagos seguros, ofreciendo el servicio de Gift Cards a muchas webs.

Esto deja en evidencia la seguridad de las compras online en la actualidad. Es conveniente siempre comprar en webs de confianza o con reputación, y no realizar pagos de manera insegura.


Un saludo, HATI  ;)

Saludos amigo, interesante el aporte..

vi que todo lo hiciste en linux sera que es posible en windows.? lo intente y fracase rotundamente..!!  :-[

Lo hice desde Windows con burpsuite, excepto para crear el diccionario, que use el comando seq, como indico en el post.

Muy interesante, terrible vulnerabilidad, nunca me había imaginado que podrían dejar algo tan al descubierto, y mas cuando se trata de dinero... Gracias a este post me dieron ganas de aprender a usar BurpSuite, muy útil la herramienta, nunca le había prestado demasiada atención.

Excelente aporte, HATI !

Saludos, NERV0.

Para testear aplicaciones webs manualmente es lo mejor, @NERV0 (https://underc0de.org/foro/profile/NERV0/)

Echa un vistazo a este, es con Burp también:

https://underc0de.org/foro/hacking/explotando-ssi-injection-desde-0/msg121734/#msg121734 (https://underc0de.org/foro/hacking/explotando-ssi-injection-desde-0/msg121734/#msg121734)